Claude in Chrome

1. 유료 Claude 계정으로 claude.ai/chrome에서 확장을 설치하고, 사이드패널을 열어 권한 설정 화면을 한 번 훑어봅니다.^[5]
2. 금융·법률·의료 사이트는 권한에서 제외하고, 가장 자주 쓰는 SaaS 두 곳(예: Notion, Google Calendar)에만 사이트 권한을 부여합니다.^[4]
3. "지난주 매출 정리해 팀장에게 메일 초안 작성" 같은 반복 사무 한 건을 골라 자동화시키고, 사람 검토가 필요했던 단계를 메모합니다.
4. 한국어 사이트(네이버 메일·정부24·쿠팡)에서 단순 조회 1건을 시켜보고, 한국어 DOM 인식 정확도와 실패 지점을 기록합니다.
5. Anthropic 「Mitigating the risk of prompt injections」 본문에서 공격 성공률 23.6% → 11.2% 수치와 4가지 브라우저 특화 공격을 정리해 보안팀과 공유합니다.^[9]

가장 큰 한계는 프롬프트 인젝션(prompt injection, 외부 텍스트에 숨겨진 명령으로 AI를 속이는 공격)입니다. Anthropic은 2025년 8월 자체 레드티밍에서 29개 시나리오·123개 테스트 케이스 기준 안전장치 없이 23.6%의 공격 성공률을 기록했다고 공개했습니다.^[1] 안전장치를 적용한 뒤에도 11.2%까지밖에 떨어지지 않았고, 브라우저 특화 공격(DOM 내 숨김 폼, URL·탭 제목에 숨긴 명령)은 35.7% → 0%까지 완화한 한정된 케이스라는 단서가 붙습니다.^[1] VentureBeat은 2025년 8월 보도에서 "1%의 성공률도 운영 환경에서는 의미 있는 리스크"라고 지적했고, 2026년 3월 The Hacker News는 Claude 확장의 제로클릭 XSS 인젝션 결함을 보도했습니다.^[3] 즉 베타 단계에서 금융·법률·의료처럼 민감한 사이트 사용은 권고되지 않습니다.^[4]

진화 방향은 세 갈래입니다.

1. 권한·감독 모델의 정교화입니다 — 사이트별 권한, 고위험 행동(결제·발행·개인정보 공유) 사전 확인, 분류기 기반 의심 명령 탐지가 누적되고 있습니다.^[1]
2. 브라우저 에이전트 시장의 분화입니다 — Google은 2026년 5월 Project Mariner를 종료하고 그 기술을 Gemini Agent·Chrome 자동 브라우즈 기능으로 흡수했고, OpenAI는 Operator를 ChatGPT Agent로 통합했습니다.^[6][7] Anthropic은 자체 브라우저 대신 Chrome 확장이라는 우회로를 택한 셈입니다.
3. 개발 도구와의 결합입니다 — 2025년 12월 Claude Code 통합으로 터미널에서 짠 코드를 브라우저에서 디버깅하는 워크플로우가 정식 지원됐고, Claude Sonnet 4.6은 2026년 2월 OSWorld 72.5%로 사람 수준 천장에 근접했다고 보고됩니다.^[6]